آسیب پذیری در نرم افزار امنیتی Trend Micro Mobile Security برای موبایل‌های اندرویدی وجود دارد که به مهاجم امکان دور زدن ویژگی محافظت از پسوورد را می‎‌دهد. و برای جلوگیری کردن از این آسیب‌پذیری گذاشتن قوانینی برای انتخاب پسورد الزامی است.

شناسه آسیب­ پذیری: CVE-2019-19690

سطح ریسک: بحرانی

CVSS 3.1: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

سیستم­های آسیب ­پذیر:

 Android versions 10.3.1 and below on Android 8.0+

نیازمندی تعامل کاربر: بله

سال شناسایی: 2019

فرایند احراز هویت در این محصول کاربر را به داشتن رمز عبور پیچیده الزام نمی‌نماید. فرآیند احراز هویت به پیچیدگی اطلاعات هویتی می‌باشد. به همین دلیل داشتن یک رمزعبور قوی برای وسیله اهمیت بالایی دارد. رمز بدون پیچیدگی کار حمله کننده را برای حدس یا پیدا کردن رمز از طریق حمله Brute force راحت می‎کند. برای جبران این ضعف می‎توان در زمان انتخاب رمزعبور قوانینی وضع کرد که شامل حداقل و حداکثر کارکترها، استفاده از کارکترهای پیچیده مانند آلفا، اعداد، نمادها و ترکیبی از اینها باشد و همچنین بخشی از اسم یوزر در رمزعبور نباشد. گذاشتن تاریخ انقضا برای رمزعبور و استفاده نکردن از رمزعبور قبلی از دیگر راهکارهای پیچیده سازی می‌باشد.

منابع

https://nvd.nist.gov/vuln/detail/CVE-2019-19690#vulnCurrentDescriptionTitle

https://esupport.trendmicro.com/en-us/home/pages/technical-support/1124037.aspx

https://cwe.mitre.org/data/definitions/521.html